Microsoft Teams 룸 보안

• 적용 대상:

  Microsoft Teams

이 문서에서는 Windows 및 Android 디바이스 모두에서 Microsoft Teams 룸 디바이스에 대한 보안 지침을 제공합니다. 이 지침에는 하드웨어, 소프트웨어, 네트워크 및 계정 보안에 대한 정보가 포함됩니다.

장치의 Teams 룸 보안에 대한 자세한 내용은 Windows의 Teams 룸 또는 Android용 Teams 룸 탭을 선택합니다.

Windows의 Teams 룸

Microsoft는 파트너와 협력하여 보안이 유지되고 Windows에서 Microsoft Teams 룸을 보호하기 위한 추가 작업이 필요하지 않은 솔루션을 제공합니다. 이 섹션에서는 Windows의 Teams 룸에 있는 다양한 보안 기능에 대해 설명합니다.

Android 디바이스의 Teams 룸 보안에 대한 자세한 내용은 Android의 Teams 룸 탭을 선택합니다.

참고

Microsoft Teams 룸은 일반적인 최종 사용자 워크스테이션처럼 취급해서는 안 됩니다. 사용 사례는 크게 다를 뿐만 아니라 기본 보안 프로필도 크게 다르므로 어플라이언스로 처리하는 것이 좋습니다. Teams 룸 디바이스에 추가 소프트웨어를 설치하는 것은 Microsoft에서 지원되지 않습니다. 이 문서는 Windows에서 실행되는 Microsoft Teams 룸 디바이스에 적용됩니다.

제한된 최종 사용자 데이터는 Teams 룸에 저장됩니다. 최종 사용자 데이터는 문제 해결 및 지원만을 위해 로그 파일에 저장될 수 있습니다. Teams 룸을 사용하는 모임 참석자는 하드 드라이브에 파일을 복사하거나 직접 로그인할 수 없습니다. 최종 사용자 데이터는 Microsoft Teams 룸 디바이스로 전송되거나 액세스할 수 없습니다.

최종 사용자가 Teams 룸 하드 드라이브에 파일을 넣을 수 없더라도 Microsoft Defender는 기본적으로 사용하도록 설정되어 있습니다. Teams 룸 성능은 엔드포인트용 Defender 포털에 등록하는 것을 포함하여 Microsoft Defender를 사용하여 테스트됩니다. 이를 사용하지 않도록 설정하거나 엔드포인트 보안 소프트웨어를 추가하면 예측할 수 없는 결과와 시스템 성능이 저하될 수 있습니다.

하드웨어 보안

Teams 룸 환경에는 Windows 10 또는 11 IoT Enterprise 버전을 실행하는 중앙 컴퓨팅 모듈이 있습니다. 인증된 모든 컴퓨팅 모듈에는 보안 탑재 솔루션, 보안 잠금 슬롯(예: 켄싱턴 잠금) 및 I/O 포트 액세스 보안 조치가 있어야 권한 없는 디바이스의 연결을 방지할 수 있습니다. UEFI(Unified Extensible Firmware Interface) 구성을 통해 특정 포트를 사용하지 않도록 설정할 수도 있습니다.

모든 인증된 컴퓨팅 모듈은 기본적으로 사용하도록 설정된 TPM(신뢰할 수 있는 플랫폼 모듈) 2.0 규격 기술과 함께 제공되어야 합니다. TPM은 Teams 룸 리소스 계정에 대한 로그인 정보를 암호화하는 데 사용됩니다.

보안 부팅은 기본적으로 사용하도록 설정됩니다. 보안 부팅은 OEM(Original Equipment Manufacturer)에서 신뢰할 수 있는 소프트웨어만 사용하여 디바이스가 부팅되도록 PC 업계의 구성원이 개발한 보안 표준입니다. PC가 시작되면 펌웨어는 UEFI 펌웨어 드라이버(옵션 ROM이라고도 함), EFI 애플리케이션 및 운영 체제를 포함하여 부팅 소프트웨어의 각 부분의 서명을 확인합니다. 서명이 유효한 경우 PC가 부팅되고 펌웨어가 운영 체제를 제어합니다. 자세한 내용은 보안 부팅을 참조하세요.

UEFI 설정에 대한 액세스는 물리적 키보드와 마우스를 연결하여 Teams 룸 터치 지원 콘솔 또는 Teams 룸에 연결된 다른 터치 사용 디스플레이를 통해 UEFI에 액세스할 수 없도록 하는 경우에만 가능합니다.

DMA(커널 직접 메모리 액세스) 보호는 Teams 룸에서 사용하도록 설정된 Windows 설정입니다. 이 기능을 사용하면 OS 및 시스템 펌웨어가 모든 DMA 지원 디바이스에 대한 악의적이고 의도하지 않은 DMA 공격으로부터 시스템을 보호합니다.

• 부팅 프로세스 중.

• OS 런타임 동안 M.2 PCIe 슬롯 및 Thunderbolt 3과 같이 쉽게 액세스할 수 있는 내부/외부 DMA 지원 포트에 연결된 디바이스의 악의적인 DMA에 대해

Teams 룸에서는 HVCI(하이퍼바이저 보호 코드 무결성)도 사용할 수 있습니다. HVCI에서 제공하는 기능 중 하나는 Credential Guard입니다. Credential Guard는 다음과 같은 이점을 제공합니다.

• 하드웨어 보안 NTLM, Kerberos 및 Credential Manager는 보안 부팅 및 가상화를 비롯한 플랫폼 보안 기능을 활용하여 자격 증명을 보호합니다.

• 가상화 기반 보안 Windows NTLM 및 Kerberos 파생 자격 증명 및 기타 비밀은 실행 중인 운영 체제와 격리된 보호된 환경에서 실행됩니다.

• 고급 영구 위협 방지 기능 향상 자격 증명 관리자 도메인 자격 증명, NTLM 및 Kerberos 파생 자격 증명이 가상화 기반 보안, 자격 증명 도난 공격 기술 및 많은 대상 공격에 사용되는 도구를 사용하여 보호되는 경우 차단됩니다. 관리 권한이 있는 운영 체제에서 실행되는 맬웨어는 가상화 기반 보안으로 보호되는 비밀을 추출할 수 없습니다.

소프트웨어 보안

Microsoft Windows가 부팅되면 Teams 룸은 자동으로 Skype라는 로컬 Windows 사용자 계정에 로그인합니다. Skype 계정에 암호가 없습니다. Skype 계정 세션을 안전하게 만들기 위해 다음 단계를 수행합니다.

중요

암호를 변경하거나 로컬 Skype 사용자 계정을 편집하지 마세요. 이렇게 하면 Teams 룸이 자동으로 로그인하지 못할 수 있습니다.

Microsoft Teams 룸 앱은 Windows 10 1903 이상에서 찾은 할당된 액세스 기능을 사용하여 실행됩니다. 할당된 액세스는 사용자에게 노출되는 애플리케이션 진입점을 제한하고 단일 앱 키오스크 모드를 사용하도록 설정하는 Windows의 기능입니다. Teams 룸은 셸 시작 관리자를 사용하여 Windows 데스크톱 애플리케이션을 사용자 인터페이스로 실행하는 키오스크 디바이스로 구성됩니다. Microsoft Teams 룸 앱은 사용자가 로그온할 때 일반적으로 실행되는 기본 셸(explorer.exe)을 대체합니다. 즉, 기존 탐색기 셸이 전혀 시작되지 않아 Windows 내에서 Microsoft Teams 룸 취약성 표면이 크게 감소합니다. 자세한 내용은 Windows 데스크톱 버전에서 키오스크 및 디지털 기호 구성을 참조하세요.

Teams 룸에서 보안 검사 또는 CIS(인터넷 보안 센터) 벤치마크를 실행하기로 결정한 경우 Skype 사용자 계정이 Teams 룸 앱 이외의 애플리케이션 실행을 지원하지 않으므로 로컬 관리자 계정의 컨텍스트에서만 검사를 실행할 수 있습니다. Skype 사용자 컨텍스트에 적용되는 대부분의 보안 기능은 다른 로컬 사용자에게 적용되지 않으므로 이러한 보안 검사로 인해 Skype 계정에 적용된 전체 보안 잠금이 표시되지 않습니다. 따라서 Teams 룸에서 로컬 검사를 실행하지 않는 것이 좋습니다. 그러나 원하는 경우 외부 침투 테스트를 실행할 수 있습니다. 따라서 로컬 검사를 실행하는 대신 Teams 룸 디바이스에 대해 외부 침투 테스트를 실행하는 것이 좋습니다.

또한 비관리 기능의 사용이 제한되도록 잠금 정책이 적용됩니다. 키보드 필터는 할당된 액세스 정책에서 다루지 않는 안전하지 않을 수 있는 키보드 조합을 가로채고 차단할 수 있습니다. 로컬 또는 도메인 관리 권한이 있는 사용자만 Windows에 로그인하여 Teams 룸을 관리할 수 있습니다. Microsoft Teams 룸 디바이스의 Windows에 적용되는 이러한 정책 및 기타 정책은 제품 수명 주기 동안 지속적으로 평가 및 테스트됩니다.

Microsoft Defender는 기본적으로 사용하도록 설정되어 있으며, Teams 룸 Pro 라이선스에는 엔드포인트용 Defender도 포함되어 있으며, 이를 통해 고객은 엔드포인트용 Defender에 Teams 룸을 등록하여 보안 팀이 Defender 포털에서 Windows 디바이스의 Teams 룸 보안 상태에 대한 가시성을 제공할 수 있습니다. Windows 디바이스에 대한 단계에 따라 Windows의 Teams 룸을 등록할 수 있습니다. 이러한 정책이 Teams 룸 기능에 영향을 미칠 수 있으므로 보호 규칙(또는 구성을 변경하는 다른 Defender 정책)을 사용하여 Teams 룸을 수정하지 않는 것이 좋습니다. 그러나 포털에 대한 보고 기능은 지원됩니다.

계정 보안

Teams 룸 디바이스에는 기본 암호가 있는 "Admin"이라는 관리 계정이 포함됩니다. 설정을 완료한 후 가능한 한 빨리 기본 암호를 변경하는 것이 좋습니다.

관리자 계정은 Teams 룸 디바이스의 적절한 작업에 필요하지 않으며 이름을 바꾸거나 삭제할 수도 있습니다. 그러나 관리자 계정을 삭제하기 전에 Teams 룸 디바이스와 함께 제공되는 계정을 제거하기 전에 구성된 대체 로컬 관리자 계정을 설정해야 합니다. 기본 제공 Windows 도구 또는 PowerShell을 사용하여 로컬 Windows 계정의 암호를 변경하는 방법에 대한 자세한 내용은 다음을 참조하세요.

• Windows의 Teams 룸에서 LAPS 구성
• Windows 암호 변경 또는 재설정
• Set-LocalUser

Intune을 사용하여 도메인 계정을 로컬 Windows 관리자 그룹으로 가져올 수도 있습니다. 자세한 내용은 정책 CSP – RestrictedGroups를 참조하세요.

참고

네트워크 연결 콘솔과 함께 Crestron Teams 룸을 사용하는 경우 페어링에 사용되는 Windows 계정을 구성하는 방법에 대한 Crestron의 지침을 따라야 합니다.

주의

다른 로컬 또는 도메인 계정에 로컬 관리자 권한을 부여하기 전에 관리자 계정을 삭제하거나 사용하지 않도록 설정하면 Teams 룸 디바이스를 관리하는 기능이 손실될 수 있습니다. 이 경우 디바이스를 원래 설정으로 다시 초기화하고 설치 프로세스를 다시 완료해야 합니다.

Skype 사용자 계정에 로컬 관리자 권한을 부여하지 마세요.

Windows 구성 디자이너를 사용하여 Windows 프로비저닝 패키지를 만들 수 있습니다. 로컬 관리자 암호를 변경하는 것과 함께 컴퓨터 이름을 변경하고 Microsoft Entra ID에 등록하는 등의 작업을 수행할 수도 있습니다. Windows 구성 디자이너 프로비저닝 패키지를 만드는 방법에 대한 자세한 내용은 Windows 10용 프로비저닝 패키지를 참조하세요.

Teams에 로그인할 수 있도록 각 Teams 룸 디바이스에 대한 리소스 계정을 만들어야 합니다. 이 계정에서는 사용자 대화형 2단계 또는 다단계 인증을 사용할 수 없습니다. 두 번째 요소를 요구하면 다시 부팅한 후 계정이 Teams 룸 앱에 자동으로 로그인할 수 없게 됩니다. 또한 Microsoft Entra 조건부 액세스 정책 및 Intune 준수 정책을 배포하여 리소스 계정을 보호할 수 있습니다. 자세한 내용은 Microsoft Teams 룸에 대해 지원되는 조건부 액세스 및 Intune 디바이스 준수 정책 및 Microsoft Teams 룸 에 대한 조건부 액세스 및 Intune 규정 준수를 참조하세요.

가능한 경우 클라우드 전용 계정으로 Microsoft Entra ID로 리소스 계정을 만드는 것이 좋습니다. 동기화된 계정은 하이브리드 배포에서 Teams 룸에서 작동할 수 있지만 이러한 동기화된 계정은 종종 Teams 룸에 로그인하는 데 어려움을 겪으며 문제를 해결하기 어려울 수 있습니다. 타사 페더레이션 서비스를 사용하여 리소스 계정에 대한 자격 증명을 인증하도록 선택하는 경우 타사 IDP가 로 설정된 urn:oasis:names:tc:SAML:1.0:assertion특성으로 wsTrustResponse 응답하는지 확인합니다. 조직에서 WS-Trust를 사용하지 않으려면 클라우드 전용 계정을 대신 사용합니다.

네트워크 보안

일반적으로 Teams 룸에는 Microsoft Teams 클라이언트와 동일한 네트워크 요구 사항이 있습니다. 방화벽 및 기타 보안 디바이스를 통한 액세스는 Teams 룸의 경우 다른 Microsoft Teams 클라이언트와 동일합니다. Teams 룸과 관련된 Teams에 대해 "필수"로 나열된 범주는 방화벽에서 열려 있어야 합니다. Teams 룸은 Windows 업데이트, Microsoft Store 및 Microsoft Intune에 대한 액세스 권한도 필요합니다(Microsoft Intune을 사용하여 디바이스를 관리하는 경우). Microsoft Teams 룸에 필요한 IP 및 URL의 전체 목록은 다음을 참조하세요.

• Microsoft Teams, Exchange Online, SharePoint Online, Microsoft 365 Common 및 Office Online Office365 URL 및 IP 주소 범위
• Windows 업데이트WSUS 구성
• 비즈니스 및 교육용 Microsoft Store의 Microsoft Store 필수 구성 요소
• Microsoft Intune용 Microsoft Intune 네트워크 엔드포인트

Microsoft Teams 룸 Pro의 Microsoft Teams 룸 관리 서비스 구성 요소를 사용하는 경우 Teams 룸에서 다음 URL에 액세스할 수 있는지 확인해야 합니다.

• agent.rooms.microsoft.com
• global.azure-devices-provisioning.net
• gj3ftstorage.blob.core.windows.net
• mmrstgnoamiot.azure-devices.net
• mmrstgnoamstor.blob.core.windows.net
• mmrprodapaciot.azure-devices.net
• mmrprodapacstor.blob.core.windows.net
• mmrprodemeaiot.azure-devices.net
• mmrprodemeastor.blob.core.windows.net
• mmrprodnoamiot.azure-devices.net
• mmrprodnoamstor.blob.core.windows.net

GCC 고객도 다음 URL을 사용하도록 설정해야 합니다.

• mmrprodgcciot.azure-devices.net
• mmrprodgccstor.blob.core.windows.net

Teams 룸은 보안 업데이트를 포함하여 최신 Windows 업데이트로 자동으로 패치된 상태로 유지되도록 구성됩니다. Teams 룸은 미리 설정된 로컬 정책을 사용하여 매일 오전 2:00부터 보류 중인 업데이트를 설치합니다. 다른 도구를 사용하여 Windows 업데이트를 배포하고 적용할 필요가 없습니다. 다른 도구를 사용하여 업데이트를 배포하고 적용하면 Windows 패치 설치가 지연되어 보안이 떨어지는 배포가 발생할 수 있습니다. Teams 룸 앱은 Microsoft Store를 사용하여 배포됩니다.

Teams 룸 디바이스는 대부분의 802.1X 또는 기타 네트워크 기반 보안 프로토콜에서 작동합니다. 그러나 가능한 모든 네트워크 보안 구성에 대해 Teams 룸을 테스트할 수 없습니다. 따라서 네트워크 성능 문제로 추적할 수 있는 성능 문제가 발생하는 경우 이러한 프로토콜을 사용하지 않도록 설정해야 할 수 있습니다.

실시간 미디어의 최적의 성능을 위해 프록시 서버 및 기타 네트워크 보안 디바이스를 무시하도록 Teams 미디어 트래픽을 구성하는 것이 좋습니다. 실시간 미디어는 대기 시간이 매우 중요하며 프록시 서버와 네트워크 보안 디바이스는 사용자의 비디오 및 오디오 품질을 크게 저하시킬 수 있습니다. 또한 Teams 미디어가 이미 암호화되어 있으므로 프록시 서버를 통해 트래픽을 전달하면 실질적인 이점이 없습니다. 자세한 내용은 네트워킹 (클라우드로)-Microsoft Teams 및 Microsoft Teams 룸을 사용하여 미디어 성능을 개선하기 위한 네트워크 권장 사항을 설명하는 한 설계자의 관점을 참조하세요.

중요

Teams 룸은 인증된 프록시 서버를 지원하지 않습니다.

Teams 룸 디바이스는 내부 LAN에 연결할 필요가 없습니다. 직접 인터넷에 액세스할 수 있는 안전한 격리된 네트워크 세그먼트에 Teams 룸을 배치하는 것이 좋습니다. 내부 LAN이 손상되면 Teams 룸에 대한 공격 벡터 기회가 줄어듭니다.

Teams 룸 디바이스를 유선 네트워크에 연결하는 것이 좋습니다. 무선 네트워크를 사용하려면 최상의 환경을 위해 신중한 계획과 평가가 필요합니다. 자세한 내용은 무선 네트워크 고려 사항을 참조하세요.

근접 조인 및 기타 Teams 룸 기능은 Bluetooth를 사용합니다. 그러나 Teams 룸 디바이스의 Bluetooth 구현은 Teams 룸 디바이스에 대한 외부 디바이스 연결을 허용하지 않습니다. Teams 룸 디바이스에서 Bluetooth 기술 사용은 현재 비콘 광고 및 프롬프트 근접 연결로 제한됩니다. ADV_NONCONN_INT PDU(프로토콜 데이터 단위) 형식은 광고 비콘에서 사용됩니다. 이 PDU 유형은 수신 대기 디바이스에 정보를 보급하는 비연결 디바이스용입니다. 이러한 기능의 일부로 Bluetooth 디바이스 페어링은 없습니다. Bluetooth 프로토콜에 대한 자세한 내용은 Bluetooth SIG 웹 사이트에서 확인할 수 있습니다.

Android의 Teams 룸

이 문서에서는 Microsoft Endpoint Manager에서 전용 디바이스 모드로 구성된 Android 디바이스를 다루지 않습니다. Teams Android 디바이스는 기본적으로 키오스크 모드로 실행됩니다. Android 키오스크에 대한 자세한 내용은 Android Enterprise 전용 디바이스 등록을 참조하세요.

Microsoft는 OEM 파트너와 협력하여 설계상 안전하며 고객의 요구를 충족하도록 사용자 지정할 수 있는 솔루션을 제공합니다. 이 문서에서는 Teams Android 디바이스에 있는 다양한 보안 기능과 접근 방식에 대해 설명합니다. 탐색의 용이성을 위해 네 개의 주요 섹션으로 분할됩니다.

참고

Microsoft Teams Android 디바이스는 일반적인 Android 디바이스로 취급해서는 안 됩니다. Teams Android 디바이스는 Teams 및 해당 사용 사례와 함께 사용하도록 설계된 용도로 작성된 어플라이언스입니다. 이 문서는 Android 운영 체제를 실행하는 인증된 전용 Microsoft Teams 디바이스에만 적용됩니다. Teams 인증 디바이스는 인증된 OEM 공급업체에서만 구매할 수 있습니다. Microsoft Teams 인증 Android 디바이스에 대한 자세한 내용은 Teams 룸 인증 시스템 및 주변 장치를 참조하세요.

Windows 디바이스의 Teams 룸 보안에 대한 자세한 내용은 Windows의 Teams 룸 탭을 선택합니다.

소프트웨어 보안

Android 키오스크 모드

Teams Android 디바이스는 Android 키오스크 모드에서 디바이스를 실행하여 승인된 애플리케이션만 실행하도록 잠겨 있습니다. 키오스크 모드는 모든 시작 관리자 기능에 대한 액세스를 사용하지 않도록 설정하고 디바이스를 보호하는 데 도움이 되므로 권한 있는 애플리케이션이 디바이스에서 시작됩니다.

애플리케이션 이름	애플리케이션 설명
Microsoft Teams Android 앱	Microsoft Teams 디바이스 애플리케이션
Microsoft Teams 관리 에이전트	Teams 관리 센터 원격 관리
Intune 회사 포털	디바이스 등록, 등록 & 로그인
OEM 파트너 에이전트	OEM 파트너 에이전트 & 디바이스 설정 앱

기본적으로 Microsoft Teams Android 앱은 Android 키오스크 모드에서 시작되며 사용자에게 운영 체제에 대한 액세스 또는 지정된 Teams 사용자 환경 외부의 구성 요소에 대한 액세스를 제공하지 않습니다.

애플리케이션 코드 서명

모든 Microsoft 및 OEM 애플리케이션은 코드 서명입니다. 코드 서명은 디바이스에서 실행되는 소프트웨어가 Microsoft 및 하드웨어 파트너의 정품인지 확인하는 데 도움이 됩니다. 또한 코드 서명은 정품 소프트웨어만 시작하고 실행할 수 있도록 디바이스에서 실행되는 소프트웨어의 무결성을 확인하려고 시도합니다.

타사 애플리케이션

Teams 인증 디바이스에는 Google Play 스토어, Amazon App Store 또는 Google Play 서비스가 설계에 따라 설치되어 있지 않습니다. 이렇게 하면 저장소에서 디바이스에 타사 애플리케이션을 설치할 수 없습니다.

Android 디버그 브리지

ADB(Android 디버그 브리지)는 릴리스 소프트웨어를 실행하는 모든 Teams Android 디바이스에서 의도적으로 사용하지 않도록 설정됩니다. ADB는 관리자가 Android 기반 디바이스에서 함수를 수행하고 앱 설치, 디바이스 셸에 대한 액세스 및 기타 관리자 함수를 사용하도록 설정하는 명령줄 도구입니다.

파일 시스템 암호화

Teams Android 디바이스는 Android 기반 암호화를 지원해야 하며 Microsoft Endpoint Manager 규정 준수 정책을 사용하여 적용할 수 있습니다. Endpoint Manager 규정 준수 정책에 대한 자세한 내용은 Endpoint Manager 규정 준수 정책을 사용하여 Intune으로 관리하는 디바이스에 대한 규칙을 설정합니다.

Android OS 버전

Teams Android 디바이스는 지원되는 버전의 Android를 실행합니다. Android 운영 체제는 OEM 파트너에 의해 관리되고 Teams 인증 펌웨어에 병합된 다음 Teams 관리 센터에서 디바이스로 푸시됩니다. Teams Android 디바이스에서 실행 중인 Android 버전에 대한 자세한 내용은 [Microsoft Teams 인증 Android 디바이스](android-app-firmware.md)를 참조하세요.

Android 보안 업데이트

OEM 공급업체는 펌웨어 업데이트 프로세스의 일부로 적절한 Android 보안 업데이트 기준을 통합하여 기본 운영 체제가 안전하게 유지되도록 합니다. 디바이스를 정기적으로 업데이트하는 것은 디바이스에서 적절한 Android 보안 업데이트가 실행되고 있는지 확인하는 데 중요합니다. 자세한 내용은 디바이스 제조업체를 참조하세요.

계정 보안

Teams Android 디바이스는 디바이스의 성공적인 작동을 가능하게 하는 두 가지 유형의 계정을 중심으로 빌드됩니다.

• 로컬 디바이스 관리자 계정

• 사용자 또는 리소스 계정

Teams Android 디바이스는 디바이스 로그인을 위한 더 많은 보안 계층으로 사용할 수 있는 일부 조건부 액세스 정책과도 호환됩니다. 모범 사례 및 지원되는 조건부 액세스 정책은 지원되는 조건부 액세스 규정 준수 정책을 참조하세요.

로컬 디바이스 관리자 계정

Teams Android 디바이스에는 디바이스 설정에 액세스하기 위한 관리 계정, 로컬 웹 서버(설치된 경우) 및 OEM 특정 설정이 포함됩니다.

이 계정의 기본 사용자 이름 및 암호와 같은 초기 디바이스 설정 및 구성 항목은 디바이스 제조업체에서 가져올 수 있습니다.

주의

가능한 한 빨리 로컬 디바이스 관리자 암호를 변경해야 합니다.

팁

Teams 관리 센터는 구성 프로필을 적용하여 로그인한 Teams Android 디바이스의 로컬 디바이스 관리자 암호를 변경하는 데 사용할 수 있습니다. Android 디바이스의 상승된 기능을 보호하려면 초기 디바이스 로그인 후 이 방법을 사용하는 것이 좋습니다. 상승된 기능은 지원되는 경우 디바이스 설정 및 웹 관리 포털을 포함할 수 있습니다.

사용자 또는 리소스 계정

Teams Android 디바이스는 Microsoft 365에 로그인하려면 사용자 또는 전용 리소스 계정을 사용해야 합니다. 개인 디바이스의 사용자 계정인지 공유 디바이스의 리소스 계정인지에 따라 특정 방식으로 이러한 계정을 보호하려고 시도합니다. 자세한 내용은 회의실 및 공유 디바이스에 대한 리소스 계정 만들기 및 구성을 참조하세요.

디바이스 업데이트

Teams Android 디바이스는 사용할 수 있게 되면 Teams 관리 센터에서 Microsoft 인증 업데이트를 다운로드하도록 구성됩니다. 이러한 업데이트는 관리자가 자동으로 또는 수동으로 호출할 수 있습니다. 필요한 경우 OEM 파트너의 타사 도구를 사용하여 이 기능을 수행할 수도 있습니다. Teams Android 디바이스는 사용자에게 영향을 주지 않도록 몇 시간 후에 업데이트를 설치할 수 있습니다. 시간 후 일정은 Teams 관리 센터에서 구성하거나 OEM 파트너의 타사 도구를 사용할 수 있습니다.

중요

모든 Teams Android 디바이스에 대한 펌웨어 관리는 Teams 관리 센터를 통해 수행하는 것이 좋습니다.

네트워크 보안

Teams Android 디바이스에는 방화벽 및 기타 보안 디바이스를 통한 액세스를 포함하여 Microsoft Teams 클라이언트와 동일한 네트워크 요구 사항이 있습니다. 특히 Teams에 필요한 범주는 아래 나열된 다른 지원 서비스와 함께 방화벽에서 열려 있어야 합니다. Teams Android 디바이스에 필요한 IP 및 URL의 전체 목록은 다음을 참조하세요.

• Microsoft Teams, Exchange Online, SharePoint Online, Microsoft 365 Common 및 Office Online Office 365 URL 및 IP 주소 범위

• Microsoft Intune 용 Microsoft Intune 네트워크 엔드포인트

Teams Android 디바이스는 대부분의 802.1X 및 기타 네트워크 기반 보안 프로토콜에서 작동합니다. 그러나 모든 네트워크 보안 구성에 대해 Teams Android 디바이스를 테스트할 수는 없습니다. 따라서 네트워크 성능 문제로 추적할 수 있는 성능 문제가 발생하는 경우 조직에서 구성된 경우 이러한 프로토콜을 사용하지 않도록 설정하거나 OEM 파트너에게 도움을 요청해야 할 수 있습니다.

실시간 미디어의 최적의 성능을 위해 프록시 서버 및 기타 네트워크 보안 디바이스를 무시하도록 Teams 미디어 트래픽을 구성하는 것이 좋습니다. 실시간 미디어는 프록시 서버 및 기타 네트워크 보안 디바이스로 인해 발생할 수 있는 네트워크 대기 시간에 민감합니다. 네트워크 대기 시간은 사용자의 비디오 및 오디오 품질을 크게 저하시킬 수 있습니다. 자세한 내용은 네트워킹 (클라우드로) - Microsoft Teams를 사용하여 미디어 성능을 개선하기 위한 네트워크 권장 사항을 설명하는 한 설계자의 관점(영문)을 참조하세요.

Teams Android 디바이스는 인터넷에서 암호화된 통신 및 엔드포인트 인증을 사용합니다. Teams Android 디바이스는 TLS 1.2 이상을 사용합니다.

중요

Teams Android 디바이스는 인증된 프록시 서버 또는 테넌트 제한을 지원하지 않습니다. 프록시 지원 정보는 OEM 파트너에게 문의하세요.

Teams Android 디바이스는 내부 LAN에 연결할 필요가 없습니다. 직접 인터넷에 액세스할 수 있는 보안 네트워크 세그먼트에 Teams Android 디바이스를 배치하는 것이 좋습니다. 예를 들어 Teams 전화는 음성 VLAN에 배포할 수 있습니다. 내부 LAN이 손상되면 이 네트워크 분리를 구현하여 Teams Android 디바이스에 대한 공격 벡터 기회가 줄어듭니다.

Teams 룸 디바이스를 유선 네트워크에 연결하는 것이 좋습니다. 무선 네트워크를 사용하려면 최상의 환경을 위해 신중한 계획과 평가가 필요합니다. 자세한 내용은 무선 네트워크 고려 사항을 참조하세요.

근접 조인, Better Together, Teams 캐스트 및 Teams 패널 페어링은 Bluetooth에 의존합니다. Android 디바이스의 Teams 룸에서 Bluetooth 기술 사용은 현재 비콘 광고 및 프롬프트 근접 연결로 제한됩니다. ADV_NONCONN_INT PDU(프로토콜 데이터 단위) 형식은 광고 비콘에서 사용됩니다. 이 PDU 유형은 수신 대기 디바이스에 정보를 보급하는 비연결 디바이스용입니다. 이러한 기능의 일부로 Bluetooth 디바이스 페어링은 없습니다. Bluetooth 프로토콜에 대한 자세한 내용은 Bluetooth SIG 웹 사이트에서 확인할 수 있습니다.

Teams 휴대폰 및 디스플레이는 Bluetooth Hands-Free 프로필을 사용하여 헤드셋과 페어링할 수 있는 Bluetooth 페어링 기능을 제공합니다.

Microsoft Teams의 보안에 대한 자세한 내용은 보안 및 Microsoft Teams를 참조하세요.